Dienst zur Einbruchsprävention

Der Cloud Next Generation Firewall-Dienst zur Einbruchsprävention sorgt dafür, dass Ihr Google Cloud-Arbeitslast-Traffic kontinuierlich auf schädliche Aktivitäten überwacht wird, und ergreift präventive Maßnahmen zu deren Vermeidung. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk.

Der Cloud NGFW-Dienst zur Einbruchsprävention erstellt von Google verwaltete zonale Firewall-Endpunkte, die Technologie zum Abfangen von Paketen verwenden, um die Arbeitslasten transparent auf die konfigurierten Bedrohungssignaturen zu prüfen und sie vor Bedrohungen zu schützen. Diese Funktionen zur Vermeidung von Bedrohungen basieren auf den Palo Alto Networks-Technologien für den Bedrohungsschutz.

Der Einbruchspräventionsdienst wird als Teil der Cloud Next Generation Firewall Enterprise-Funktionen angeboten. Weitere Informationen finden Sie unter Cloud NGFW Enterprise und Cloud NGFW – Preise.

Dieses Dokument bietet eine allgemeine Übersicht über die verschiedenen Komponenten des Cloud NGFW-Einbruchspräventionsdienstes sowie dazu, wie diese Komponenten erweiterte Sicherheitsfunktionen für Ihre Google Cloud-Arbeitslasten in VPC-Netzwerken (Virtual Private Cloud) bieten.

Funktionsweise des Einbruchspräventionsdienstes

Der Einbruchspräventionsdienst verarbeitet den Traffic in der folgenden Reihenfolge:

  1. Firewallrichtlinienregeln werden auf den Traffic zu und von den VM-Instanzen oder Google Kubernetes Engine-Clustern im Netzwerk angewendet.

  2. Der übereinstimmende Traffic wird abgefangen und die Pakete werden zur Layer-7-Prüfung an den Firewall-Endpunkt gesendet.

  3. Der Firewall-Endpunkt scannt die Pakete auf konfigurierte Bedrohungssignaturen.

  4. Wenn eine Bedrohung erkannt wird, wird die im Sicherheitsprofil konfigurierte Aktion für dieses Paket ausgeführt.

Abbildung 1 beschreibt ein vereinfachtes Bereitstellungsmodell des Einbruchspräventionsdienstes.

Beispiel für ein Bereitstellungsmodell des Einbruchspräventionsdienstes.
Abbildung 1. Beispiel für ein Bereitstellungsmodell des Einbruchspräventionsdienstes (zum Vergrößern klicken)

Im Rest des Abschnitts werden die Komponenten und Konfigurationen erläutert, die zum Einrichten des Einbruchspräventionsdienstes erforderlich sind.

Sicherheitsprofile und Sicherheitsprofilgruppen

Cloud NGFW nutzt Sicherheitsprofile und Sicherheitsprofilgruppen, um eine gründliche Paketprüfung für den Dienst zur Vermeidung von Bedrohungen zu implementieren.

  • Sicherheitsprofile sind allgemeine Richtlinienstrukturen, die im Einbruchspräventionsdienst verwendet werden, um bestimmte Bedrohungsvermeidungsszenarien zu überschreiben. Zum Konfigurieren des Einbruchspräventionsdienstes definieren Sie ein Sicherheitsprofil vom Typ threat-prevention. Weitere Informationen zu Sicherheitsprofilen finden Sie unter Sicherheitsprofile.

  • Sicherheitsprofilgruppen enthalten ein Sicherheitsprofil vom Typ threat prevention. Zur Konfiguration des Einbruchspräventionsdienstes verweisen Firewallrichtlinienregeln auf diese Sicherheitsprofilgruppen, um die Erkennung und Vermeidung von Bedrohungen für Netzwerk-Traffic zu ermöglichen. Weitere Informationen zu Sicherheitsprofilgruppen finden Sie unter Sicherheitsprofilgruppen.

Firewall-Endpunkt

Ein Firewall-Endpunkt ist eine Ressource auf Organisationsebene, die in einer bestimmten Zone erstellt wird und Traffic in derselben Zone prüfen kann.

Beim Einbruchspräventionsdienst scannt der Firewall-Endpunkt den abgefangenen Traffic auf Bedrohungen. Wenn eine Bedrohung erkannt wird, wird für dieses Paket eine mit der Bedrohung verknüpfte Aktion ausgeführt. Diese Aktion kann eine Standardaktion oder (falls konfiguriert) eine Aktion im Sicherheitsprofil threat-prevention sein.

Weitere Informationen zu Firewall-Endpunkten und zu ihrer Konfiguration finden Sie unter Firewall-Endpunkte.

Firewallrichtlinien

Firewallrichtlinien gelten direkt für den gesamten ein- und ausgehenden Traffic der VM. Sie können hierarchische Firewallrichtlinien und globale Netzwerk-Firewallrichtlinien verwenden, um Firewallrichtlinienregeln mit Layer-7-Prüfung zu konfigurieren.

Firewallrichtlinien-Regeln

Mit Firewallrichtlinienregeln können Sie den Typ des Traffics steuern, der abgefangen und geprüft werden soll. Erstellen Sie eine Firewallrichtlinienregel, um den Einbruchspräventionsdienst zu konfigurieren:

Den vollständigen Workflow des Einbruchspräventionsdienstes finden Sie unter Dienst zur Einbruchsprävention konfigurieren.

Sie können auch sichere Tags in Firewallregeln verwenden, um den Einbruchspräventionsdienst zu konfigurieren. Sie können auf einer beliebigen Segmentierung aufbauen, die Sie mithilfe von Tags in Ihrem Netzwerk eingerichtet haben, und die Traffic-Prüfungslogik um den Dienst zur Vermeidung von Bedrohungen erweitern.

Verschlüsselten Traffic überprüfen

Cloud NGFW unterstützt das Abfangen und Entschlüsseln von Transport Layer Security (TLS), um ausgewählten verschlüsselten Traffic auf Bedrohungen zu prüfen. Mit TLS können Sie sowohl eingehende als auch ausgehende Verbindungen prüfen, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.

Weitere Informationen zur TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung.

Informationen zum Aktivieren der TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung einrichten.

Bedrohungssignaturen

Die Cloud NGFW-Funktionen zur Bedrohungserkennung und -vermeidung basieren auf den Palo Alto Networks-Technologien für den Bedrohungsschutz. Cloud NGFW unterstützt einen Standardsatz von Bedrohungssignaturen mit vordefinierten Schweregraden, um Ihr Netzwerk zu schützen. Sie können die mit diesen Bedrohungssignaturen verknüpften Standardaktionen auch mithilfe von Sicherheitsprofilen überschreiben.

Weitere Informationen zu Bedrohungssignaturen finden Sie unter Bedrohungssignaturen.

Informationen zu den in Ihrem Netzwerk erkannten Bedrohungen finden Sie unter Bedrohungen ansehen.

Beschränkungen

Nächste Schritte